逆向工程的代码注入

简述

在做逆向工程时, 我们可以使用HOOK技术修改工程. 这里有一个问题是如何将我们的代码打包到原工程中? 这里我们可以使用Framework或Dylib进行注入.

原理

其实, 直接修改Macho文件的代码段是最理想的方法, 但是很可惜我们做不到, 那只好去寻找其他方式.

1. Dyld (the dynamic link edito)

DYLD的开源代码

一个APP的启动过程如下:

1. 系统先读取App的可执行文件（Mach-O文件），从里面获得dyld的路径，然后加载dyld
2. dyld去初始化运行环境，开启缓存策略.
3. 加载通过DYLD_INSERT_LIBRARIES指定的依赖库(插入依赖库)
4. 加载工程中的依赖库(其中也包含我们的可执行文件)，并对这些库进行链接，最后调用每个依赖库的初始化方法，在这一步，runtime被初始化。
5. 当所有依赖库的初始化后，轮到最后一位(程序可执行文件)进行初始化，这时runtime对项目中所有类进行类结构初始化，然后调用所有的load方法。
6. dyld返回main函数地址，main函数被调用

Dyld源码: https://github.com/opensource-apple/dyld

2. Mach-O文件!

Mach-O文件格式是 OS X 与 iOS 系统上的可执行文件格式，像我们编译过程产生的.O文件，以及程序的可执行文件，动态库等都是Mach-O文件。它的结构如下:

Mach-O文件结构.jpg

参考链接: http://www.cocoachina.com/ios/20170716/19876.html

有如下几个部分组成：

• Header：保存了一些基本信息，包括了该文件运行的平台、文件类型、LoadCommands的个数等等。
• LoadCommands：可以理解为加载命令，在加载Mach-O文件时会使用这里的数据来确定内存的分布以及相关的加载命令。比如我们的main函数的加载地址，程序所需的dyld的文件路径，以及相关依赖库的文件路径。
• Data： 这里包含了具体的代码、数据等等。

注入思路

• 通过修改LoadCommands段注入*
在Mach-O文件中的 LoadCommands 部分中的 LC_LOAD_DYLIB 段下记录着Dyld需要加载的库文件, 我们是否可以将我们的代码打包成库文件添加到IPA文件中, 再修改LoadCommands部分, 使程序运行时加载我们的库? 这全都是马后炮, 当然可以😊. 这里用到一个工具来修改 LoadCommands 段: yololib

yololib 修改 Mach-O 文件
yololib Mach-O文件名 相对Mach-O文件的库路径

例如添加一个名为 hook.framework 的库
yololib WeCaht Frameworks/hook.framework/hook

• 越狱手机上插入动态库(Tweak)
参考Twaek使用及原理:https://www.jianshu.com/p/c20a23d43c9f

以下是通过修改LoadCommands段的方式注入的

Framework注入

1. 添加一个framework

添加framework-1.png 添加framework-2.png

这个framework文件命名为hook.framework

2. 然后在脚本中添加修改Mach-O的命令, 或编译成功后在 product 目录下执行

yololib Framework-demo Frameworks/hook.framework/hook

3. 为工程target添加依赖

添加Copy Files Phase-1 添加Copy Files Phase-2

4. Command + B

• 查看APP包内的Frameworks文件

• 查看Mach-O文件

  
  

注入成功!!

Dylib注入

1. 添加一个Dylib库

添加一个Dylib库

2. 然后在脚本中添加修改Mach-O的命令, 或编译成功后在 product 目录下执行

yololib Framework-demo Frameworks/libhook.dylib

3. 为工程target添加依赖-- 同上

4. 修改Dylib库的架构

因为我们iOS平台架构是ARM架构, 而macOS是x86架构, 所以需要修改Dylib的架构, 才能在iOS系统中运行

• 修改支持架构

  
  

image.png

注: 因为架构是由Architectures 和 Valid Architectures 两项的交集决定的, 所以需要两个都修改.

• 修改编译 Build Active Architecture Only

注: Build Active Architecture Only 只编译当前架构(x86), 这里修改为NO.

• 修改支持平台

.....

..... 好吧, 到这里已经疯了. 这里还有一个细节, 如果不修改上述茫茫多的配置, 编译得到的Dylib文件和我们.app文件也不在同一个目录下, 这样yololib命令就不会起作用. 我们还需要先编译Dylib, 再将得到的Dylib文件拷贝到.app所在的目录下`.

生成的Framework/Dylib文件和.app文件在同一目录下

其实, 这些修改还没有完, 也并没有错. 只不过, 我们有更快捷的修改方式 修改Base SDK 以及 Code Signing identity

image.png

修改完了之后, 上面所有需要修改的选项都自动修改🍺. 真调皮.

5. Cmmand + B

• 可以通过查看Frameworks文件和Mach-O文件看看是否成功

重签名及代码注入脚本

# ${SRCROOT} 为工程文件所在的目录
TEMP_PATH="${SRCROOT}/Temp"
#资源文件夹,放三方APP的
ASSETS_PATH="${SRCROOT}/APP"
#ipa包路径
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"



#新建Temp文件夹
rm -rf "$TEMP_PATH"
mkdir -p "$TEMP_PATH"

# --------------------------------------
# 1. 解压IPA 到Temp下
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"
# 拿到解压的临时APP的路径
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")
# 这里显示打印一下 TEMP_APP_PATH变量
echo "TEMP_APP_PATH: $TEMP_APP_PATH"

# -------------------------------------
# 2. 把解压出来的.app拷贝进去
#BUILT_PRODUCTS_DIR 工程生成的APP包路径
#TARGET_NAME target名称
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "TARGET_APP_PATH: $TARGET_APP_PATH"

rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH/"

# -------------------------------------
# 3. 为了是重签过程简化，移走extension和watchAPP. 此外个人免费的证书没办法签extension

echo "Removing AppExtensions"
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"

# -------------------------------------
# 4. 更新 Info.plist 里的BundleId
#  设置 "Set :KEY Value" "目标文件路径.plist"
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

# 5.给可执行文件上权限
#添加ipa二进制的执行权限,否则xcode会告知无法运行
#这个操作是要找到第三方app包里的可执行文件名称，因为info.plist的 'Executable file' key对应的是可执行文件的名称
#我们grep 一下,然后取最后一行, 然后以cut 命令分割，取出想要的关键信息。存到APP_BINARY变量里
APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`


#这个为二进制文件加上可执行权限 +X
chmod +x "$TARGET_APP_PATH/$APP_BINARY"



# -------------------------------------
# 6. 重签第三方app Frameworks下已存在的动态库
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
#遍历出所有动态库的路径
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do
echo "🍺🍺🍺🍺🍺🍺FRAMEWORK : $FRAMEWORK"
#签名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi

# 7. 代码注入
#---------------------
# 注入framework
if [ "$1" == "fr" ]
then
# framework文件 相对Mach-O文件的路径
INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/$2.framework/$2"
fi

# 注入dylib
if [ "$1" == "dy" ]
then
#echo "开始注入"
# 需要注入的动态库的路径  这个路径我就写死了!
INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/lib$2.dylib"
#
fi

## 通过工具实现注入
yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_RELATIVE_PATH"
echo "注入完成"

将脚本保存到本机后 (这里我保存到了opt文件夹)
如果你想通过 Framework 注入:
/opt/autoSign.sh fr hook
如果你想通过 Dylib 的方式注入:
/opt/autoSign.sh dy hook

脚本的使用

DONE